Sichere Zugänge im Unternehmen: Die 7 besten Passwortmanager

Foto: janews – shutterstock.com

Ein Passwortmanager ist ein Programm, das Passwörter und Anmeldungen für verschiedene Websites und Anwendungen speichert und neue sichere Passwörter generiert, wenn Benutzer alte Passwörter ändern oder ein neues Konto erstellen müssen. Um Zugang zu ihrem Passwortmanager zu erhalten, loggen sich die Anwender mit einem besonders sicheren Kennwort oder mit biometrischen Daten ein.

Die meisten Passwortmanager ermöglichen es, sich auf mehreren Geräten anzumelden (einschließlich Macs, Windows-Rechnern und iPhone- oder Android-Smartphones). Sie arbeiten mit verschiedenen Browsern wie Chrome, Firefox oder Safari zusammen. Die so verwalteten Benutzernamen und Passwörter werden beim Aufruf der geschützten Dienste und Webseiten automatisch eingetragen, wobei die Passwortinformationen verschlüsselt in der Cloud gespeichert und bei Bedarf plattformübergreifend freigegeben werden. Obwohl diese Tools ursprünglich für die private Anwendung entwickelt wurden, gibt es inzwischen auch Lösungen, die auf den Einsatz im Unternehmen zugeschnitten sind.

Ist ein Passwortmanager sinnvoll?

Auch wenn es zunächst kontraproduktiv erscheinen mag, die gesamte IT-Sicherheit einer Passwort-Manager-App anzuvertrauen, auf die mit einem einzigen Passwort zugegriffen werden kann, überwiegen doch die Vorteile von Passwortmanagern. Den meisten Menschen fällt es nun Mal schwer, sich mehr als ein sicheres Passwort zu merken. Viele verwenden deshalb ein Passwort für mehrere Websites, was bedeutet, dass erfolgreiche Hackerangriffe schwerwiegende Konsequenzen haben würden. Oder die Nutzer stützen sich auf viele schwache Passwörter, die kaum Schutz bieten und durch Brute-Force leicht zu knacken sind.

Im Gegensatz dazu müssen sich die Benutzer eines Passwort-Managers nur ein einziges Passwort merken. Weitere Vorteile sind die oft mitgelieferten zusätzlichen Sicherheitsfunktionen, beispielsweise die Multifaktor-Authentifizierung.

Passwortmanager für Unternehmen: Vier Funktionen, auf die Sie achten sollten

Ein Passwortmanager kann also die IT-Sicherheit in Unternehmen erhöhen. Wenn Sie ein solches Produkt für Ihren Betrieb einführen möchten, sollten Sie auf folgende Funktionen Wert legen:

• Verwaltung mehrerer Benutzer und Anwendungen: Einige Produkte bieten Funktionen, mit denen bestimmten Anwendergruppen automatisiert der Zugang zu Anwendungen ge- oder verwehrt werden kann. Tools, mit denen sich Passwortrichtlinien verwalten lassen, sind ein Muss. Sie sollten die Möglichkeit bieten, Komplexitätsregeln und Änderungsanforderungen festzuschreiben.

• Interoperabilität mit Unternehmenssoftware und Netzwerken: Die Software sollte in der Lage sein, mit LDAP oder Active Directory zu synchronisieren oder die Möglichkeit bieten, die Authentifizierung von Cloud-Diensten wie Office 365 oder Google Workspace zu nutzen, um die Bereitstellung des Passwortmanagers für die User zu optimieren.

• Erweiterte Authentifizierungsfunktionen: Hier geht es um die Fähigkeit, die Authentifizierung mit dem SAML-Standard (Security Assertion Markup Language) zu regeln, was einen Schritt über das einfache Ausfüllen von Anmeldeformularfeldern hinaus geht. Zusätzlich können dynamische Authentifizierungsrichtlinien sicherstellen, dass die Mitarbeitenden ein registriertes Gerät verwenden oder sich von einem akzeptierten geografischen Standort aus anmelden. Einige Anbieter unterstützen sogar Funktionen wie die Passwortverwaltung für VPN-Software, lokale Anwendungen oder RADIUS-Server.

• Audit-Protokollierung, Berichte und Warnmeldungen: Das sind Schlüsselfunktionen für einen Passwort-Manager. Adminis können so die Zugriffe auf Anwendungen überwachen, verwaltende Eingriffe überprüfen oder herausfinden, ob Passwörter schwach sind und geändert werden müssen. Passwortmanager werden manchmal auch genutzt, um mehreren Benutzern mit denselben Anmeldedaten Zugriff auf eine Anwendung zu gewähren. Normalerweise verhindert das, dass Audit-Prozesse innerhalb der Anwendung erkennen, wer eine Aktion durchgeführt hat. Doch ein Passwortmanager kann nachverfolgen und berichten, welche Benutzer zu einem bestimmten Datum und einer bestimmten Uhrzeit auf eine Anwendung zugegriffen haben. Mit Hilfe von Warnmeldungen können Sie über kompromittierte Konten, gesperrte Benutzerkonten oder anormale Verhaltensmuster informieren.

• Unterstützung für den programmatischen Zugriff auf Kennwörter mit Skripten: Die Verwaltung von Passwörtern ist in der DevOps-Welt eine echte Herausforderung, da hart kodierte Anmeldedaten fast genauso schlimm sind wie solche, die im Klartext gespeichert sind. Kommandozeilen-Tools oder die Fähigkeit, über ein API auf den Passwort-Tresor zuzugreifen, sind gängige Methoden, die Passwortmanagement-Tools zum sicheren Abrufen von Passwörtern aus dem Tresor anbieten können. Die Verwaltung von vertraulichen Informationen jedoch könnte auch eine native Unterstützung für gängige Tools wie Kubernetes oder Ansible beinhalten.

Passwort Manager Vergleich

Welche Hersteller bieten Passwortmanagement-Lösungen für Unternehmen an, die über die wichtigsten Funktionen verfügen? Wir stellen Ihnen sieben Anbieter vor:

1Password

1Password zählt zu den etablierten Anbietern und bietet zusätzlich zu seinen Diensten rund um das Passwortmanagement für Einzelanwender auch Lösungen für Teams und Unternehmen an. Für Arbeitsgruppen werden etwa Admin-Kontrollen für Freigaben und Berechtigungen angeboten, außerdem eine Zwei-Faktor-Authentifizierung (einschließlich Unterstützung für Duo-Integration) und fünf Gastkonten, um die Reichweite der sicheren Freigabe zu erweitern.

Business-Kunden müssen mit monatlichen Kosten von rund sieben Euro pro Benutzer rechnen. Sie erhalten dafür unter anderem richtlinienbasierte administrative Sicherheitskontrollen, Protokollierung und Berichte sowie Provisionierung über Active Directory, Okta oder OneLogin.

Der Hersteller bietet zudem Add-ons für die Verwaltung von vertraulichen Informationen an, die eine Vielzahl von Tools wie Andible, Kubernetes, HashiCorp Terraform und Vault sowie Code-Bibliotheken für Go, NodeJS und Python unterstützen.

Dashlane

Dashlane ist ein ebenfalls beliebter Passwortmanager für den privaten Gebrauch, der erfolgreich die Brücke zur Geschäftswelt schlägt. Wie 1Password werden hier sowohl eine Team- als auch eine Business-Variante für vier beziehungsweise sechs Euro pro Nutzer und Monat angeboten.

Neben einer Reihe von administrativen Verwaltungstools und Berichtsfunktionen unterstützt die Lösung auch die Bereitstellung und Sperrung von Anwendungen. Der Anbieter stellt außerdem SAML-basiertes Single Sign-On (SSO) für Benutzer der Business-Ebene, Directory-Integration und richtlinienbasierte Verwaltung zur Verfügung.

Keeper Business und Keeper Enterprise

Wie viele Mitbewerber bietet auch Keeper sowohl eine Business- als auch eine Enterprise-Version seiner Passwort-Management-Lösung an, die bei rund 40 Euro pro Jahr und Benutzer beginnen. Die Business-Version bietet Policy-basiertes Management, Reporting und Zwei-Faktor-Authentifizierung. Kunden der Enterprise-Variante erhalten SAML-Unterstützung, eine robustere Zwei-Faktor-Authentifizierung inklusive DUO-Integration und RSA-Tokens, Provisioning-Tools für die Kommandozeilen-Ebene und API-Unterstützung für Dinge wie Passwort-Rotation und Interaktion mit dem Cloud-basierten Tresor erhalten. Für neun Euro pro Benutzer und Jahr ist ein Add-on erhätlich, das detaillierteres Reporting und eine bessere Benachrichtigsfunktion bietet.

LastPass

Die Unternehmenslösung des bekannten Passwortmanagers LastPass bietet eine intuitive Admin-Oberfläche mit Sicherheits- und MFA-Einstellungen sowie ausgefeiltem Reporting. Die Active Directory Federation Services (ADFS) oder die Identity Federation von Okta lassen sich gut mit den integrierten Bereitstellungs- und Sperrungsfunktionen kombinieren, um so die Administration zu verbessern. LastPass for Business ist für 5,70 Euro pro Monat und Benutzer erhältlich, doch es werden nur maximal drei SSO-Apps unterstützt, was zweifellos ein Nachteil ist. Erst mit dem kostenpflichtigen Add-on Advanced SSO können Nutzer Anwendungen unbegrenzt einbinden. Eine Zusatzgebühr fällt zudem für Advanced MFA an, ein Add-on, das dem Authentifizierungsprozess deutlich mehr Performance und Flexibilität verleiht.

NordPass

NordPass wurde vom gleichen Hersteller wie NordVPN entwickelt. Das Unternehmen verfügt über viel Erfahrung und einen guten Ruf, wenn es um Datenschutz und Sicherheit geht. Doch das Produkt scheint noch nicht ganz ausgereift, vor allem was Directory-Integration, MFA und Reporting betrifft. Nicht, dass NordPass keine Optionen für jede dieser Kategorien anbieten würde. Es ist aber so, dass die Lösung im Vergleich zur Konkurrenz nicht die gleiche Flexibilität und Tiefe bietet. Die Preise für Business-Konten beginnen bei 3,20 Euro pro Benutzer und Monat, wobei für die Enterprise-Variante die Kontaktaufnahme zum NordVPN-Vertrieb unumgänglich ist.

Password Boss

Password Boss ist wohl nicht so bekannt wie die anderen Anbieter, aber durchaus einen zweiten Blick wert. Das Tool bietet Konnektoren sowohl für Active Directory als auch für Azure AD, um möglichst alle User einzubinden. MFA-Unterstützung ist mit dem Google Authenticator oder einem anderen TOTP-Authentifikator verfügbar (TOTP = time-based one-time password). Auch wenn das Produkt nicht so ausgereift ist wie andere in dieser Übersicht, ist es doch eine gute Lösung für Unternehmen, die einen einfachen, unkomplizierten Passwortmanager suchen.

Securden

Auch von Securden werden Sie möglicherweise noch nicht gehört haben. Das Unternehmen bietet verschiedene Lösungen für die Sicherheit von Geschäftskonten, darunter auch einen Passwortmanager für Unternehmen. Er verfügt über viele Funktionen, darunter eine Reihe von Admin-Tools wie gruppenbasiertes Management und Reporting. Die Lösung bietet zudem einen request-basierten Genehmigungs-Workflow. Anwender müssen dabei den Zugriff auf eine Ressource erst beantragen und genehmigen lassen, bevor sie eine Authentifizierung erhalten. Das stellt sicher, dass die Benutzer autorisiert sind und bietet zudem einen weiteren Prüfpunkt. Außerdem bietet das Tool automatische Passwort-Rotation, API-Zugriff, Verwaltung von Windows-Service-Accounts und auch das Management von SSH-Schlüsseln. Zudem können Nutzer das Programm in ihr Active Directory, ihre SAML-basierte SSO-Lösung sowie in ihr vorhandene SIEM-Lösung oder das Helpdesk-Ticketsysteme integrieren. (jm)